XSS攻击使用输入过滤和输出转码再配合httponly就一定安全吗？

前天腾讯面试时，被问到一个问题：XSS攻击使用输入过滤和输出转码再配合httponly就一定安全吗？（最好能贴代码举栗子说明下，谢谢）

子衿沉夜

浏览 637回答 2

紫衣仙女

如果页面上有类似于html编辑器之类的东西，那需要再过滤掉一些标签和属性吧，比如,标签，元素事件,image的onerror之类的。link会改变样式。script标签可以引入有害的js。元素事件和某些属性有执行js代码的能力（如img的onerror属性）举个例子

幕布斯7119047

兄弟最近美团技术有针对XSS攻击发布了专栏，你可以去看看，明确的说XSS没有绝得防御的方法,只能说通过自己代码的规范前后端的共同协作来避免XSS攻击的发生。希望你可以去看看那篇文章很有营养,我这里也收藏了具体的预防XSS的方法.希望对你有所帮助。

随时随地看视频慕课网APP